十三届全国人大常委会第十四次会议于2019年10月26日表决通过密码法,将自2020年1月1日起施行。密码法旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律。
密码法规定,国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码。其中商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
大力发展和严格管理商用密码,既是维护国家网络空间安全的需要,也是保护各类经济组织的利益和安全、保护公民个人合法权益和安全的需要。
国家商用密码的”前世今生”
随着国家经济、管理、社会事务以及公民个人信息在存储和传输过程中的安全问题日益突出,使用商用密码保护非国家秘密信息的需求越来越强烈。
1996年7月,中央办公厅印发《关于发展商用密码和加强对商用密码管理工作的通知》,确定了“统一领导、集中管理、定点研制、专控经营、满足使用”的商用密码发展和管理方针。
1999年10月,《商用密码管理条例》正式由国务院颁布施行,这是我国商业密码领域第一个行政法规,标志着我国商用密码的发展和管理从此走上了法治化的轨道。
2003年9月,中办国办联合印发《关于加强信息安全保障工作的意见》,第一次明确了密码在信息安全保障工作中的基础性地位和关键作用。
2019年10月,十三届全国人大常委会第十四次会议表决通过密码法,其中密码法第三章商用密码部分,规定了商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。
经过20多年的发展,我国商用密码已经应用到社会生产生活的各个方面,在网络和信息安全中发挥着越来越重要的基础支撑作用。
密码法主要内容-图
国家商用密码算法介绍
国密算法是国家商用密码管理办公室指定的一系列的密码标准,即已经被国家密码局认定的国产密码算法,保障在金融,医疗等领域的信息传输安全。
国密算法-图
特殊说明:SM1和SM7对外是不公开的,想要调用的话,需要通过加密芯片的接口才可以。
以下是针对各种国密算法的简单介绍:
? SM1对称密码
SM1 算法是分组对称算法,分组长度为128位,密钥长度都为 128 比特,算法安全保密强度及相关软硬件实现性能与 AES 相当,算法不公开,仅以 IP 核的形式存在于芯片中。采用该算法已经研制了系列芯片、智能 IC 卡、智能密码钥匙、加密卡、加密机等安全产品,广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。
? SM2椭圆曲线公钥密码算法
SM2为非对称加密,基于ECC。该算法已公开。由于该算法基于ECC,故其签名速度与秘钥生成速度都快于RSA。ECC 256位(SM2采用的就是ECC 256位的一种)安全强度比RSA 2048位高,但运算速度快于RSA。它是一种先进安全的公钥密码算法,在我们国家商用密码体系中被用来替换RSA算法。SM2算法就是ECC椭圆曲线密码机制,但在签名、密钥交换方面不同于ECDSA、ECDH等国际标准,而是采取了更为安全的机制。另外,SM2推荐了一条256位的曲线作为标准曲线。
? SM3杂凑算法
SM3是一种哈希算法,其算法本质是给数据加一个固定的长度的指纹,这个固定指纹长度就是256bit,用于密码应用中的数字签名和验证,消息认证码的生成与验证以及随机数的生成,可满足多种密码应用的安全需求。可以在SM2,SM9标准中使用。
? SM4对称算法
SM4算法是一种分组密码算法,用于无限局域网产品,该算法的分组长度为128bit,加密算法与密钥扩展算法都采用32轮非线性迭代结构。解密算法与加密算法的结构相同,只是轮密钥的使用顺序相反,解密轮密钥是加密轮密钥的逆序。
? SM7对称密码
SM7算法是一种分组密码算法,分组长度为128比特,密钥长度为128比特。SM7适用于非接触式IC卡,应用包括身份识别类应用(门禁卡、工作证、参赛证),票务类应用(大型赛事门票、展会门票),支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通等),其跟SM1一样,是不被公开的,想要使用,需要添加加密芯片才能调用。
? SM9标识密码算法
为了降低公开密钥系统中密钥和证书管理的复杂性,以色列科学家、RSA算法发明人之一Adi Shamir在1984年提出了标识密码(Identity-Based Cryptography)的理念。标识密码将用户的标识(如邮件地址、手机号码、QQ号码等)作为公钥,省略了交换数字证书和公钥过程,使得安全系统变得易于部署和管理,非常适合端对端离线安全通讯、云端数据加密、基于属性加密、基于策略加密的各种场合。2008年标识密码算法正式获得国家密码管理局颁发的商密算法型号:SM9(商密九号算法),为我国标识密码技术的应用奠定了坚实的基础。
SM9算法不需要申请数字证书,适用于互联网应用的各种新兴应用的安全保障。如基于云技术的密码服务、电子邮件安全、智能终端保护、物联网安全、云存储安全等等。这些安全应用可采用手机号码或邮件地址作为公钥,实现数据加密、身份认证、通话加密、通道加密等安全应用,并具有使用方便,易于部署的特点,从而开启了普及密码算法的大门。
? ZUC祖冲之算法
祖冲之序列密码算法是中国自主研究的流密码算法,是运用于移动通信4G网络中的国际标准密码算法,该算法包括祖冲之算法(ZUC)、加密算法(128-EEA3)和完整性算法(128-EIA3)三个部分。目前已有对ZUC算法的优化实现,有专门针对128-EEA3和128-EIA3的硬件实现与优化。
国家商业密码的发展展望
随着国家网络安全和信息化整体水平已成为一个国家综合国力和竞争力的重要标志,密码技术作为国家自主可控的核心技术,在维护国家安全、促进经济发展、保护人民群众利益中发挥着越来越重要的作用。商用密码工作必须进一步强化自主创新,进一步健全市场体系。
随着《密码法》的颁布实施,我国商用密码在新的历史起点上,必将迎来更加广阔的发展空间:
? 商用密码应用将无处不在
随着云计算、物联网、大数据、人工智能等新技术的发展,尤其是“互联网+”的出现,保障安全成为信息产品和信息服务的基本需求,密码技术作为不可或缺的重要手段,密码应用将不断深入和拓展。
? 商用密码产业将强势发展
随着应用需求的日益旺盛,商用密码产业将形成自主可控的完整产业链以及良性生态环境,产业整体实力将显著增强,将出现一批具有较大产业规模和市场竞争力的商用密码领军企业,影响并引领商用密码产业强势发展。
? 商用密码科技创新能力将显著提升
突破一批商用密码重大基础理论和关键核心技术,在新型密码算法、量子密码、生物密码、可信计算、区块链等领域以及云计算和大数据环境下的密钥管理技术、与生物特征相融合的密钥管理技术、数据安全管理和使用技术、网络身份管理技术等关键技术方面达到国际先进水平。
? 密码标准体系将更加健全
加速编制一批基础共性、重点应用、关键技术标准,有力支持国内重要领域密码应用。全面建成科学先进的密码标准体系和检测体系,建成完备的密码标准评估与验证环境。
? 商用密码管理将更加科学规范
《密码法》的颁布实施以及《商用密码管理条例》的修订出台,必将使商用密码法律法规体系更加系统、完善、合理,为商用密码管理的规范化和科学化注入新鲜动力。商用密码管理体制将更加科学合理,依法管理能力将进一步提高。
? 商用密码应用安全性评估将更加有力
随着密码法、网络安全等级保护条例的出台实施,商用密码应用安全性评估作为重要信息系统、关键信息基础设施、政务信息系统立项、建设、运行的重要基础,将发挥越来越强有力的保障作用,确保密码使用的合规性、正确性、有效性,助力构建坚实可靠的密码安全防线。
? 商用密码支撑体系将更加完善
在金融等重要领域,通信、能源、资源、交通等基础设施网络,新兴产业和数字经济,政务系统和信息惠民工程中,将构建起以密码为核心技术、底层支撑和信任基础的新网络安全体系、新网络安全环境、新网络安全文明。
随着密码技术的飞速发展,随着金融和重要领域密码应用的深入推进和国际化拓展,以及新技术新应用新业态的不断涌现,商用密码迎来了大有可为的发展机遇期。
派拉在企业身份管理安全产品中除支持国外主流加密算法外,也支持国内商业密码各种加密算法,满足国内各行业对国家信息安全领域法规管理监管的要求。